Los hackers pro-ucranianos han comprometido un gran número de bases de datos rusas en la nube, borrando datos, renombrando archivos y potencialmente exfiltrando información para futuros ataques, han confirmado los investigadores.
Jeremiah Fowler y un equipo de Website Planet decidieron analizar la campaña para “hackear” a las entidades rusas tras la invasión de Ucrania.
El colectivo de hackers Anonymous anunció el 24 de febrero que estaba “oficialmente en guerra cibernética” contra el gobierno ruso, mientras que el viceprimer ministro ucraniano, Mykhailo Fedorov, está organizando un “ejército informático” voluntario de hackers a través de Telegram para atacar objetivos rusos.
Fowler descubrió que sus esfuerzos están empezando a dar frutos. De una muestra aleatoria de 100 bases de datos rusas en la nube mal configuradas, descubiertas a través de motores IoT y otras técnicas legítimas, 92 habían sido comprometidas.
En la mayoría de estos casos, los atacantes borraron completamente el conjunto de datos con un script similar al infame MeowBot. Los archivos también fueron rebautizados con mensajes pro-ucranianos como “Putin para esta guerra”, “No a la guerra” y “HackedByUkraine”, dijo.
Una de las bases de datos comprometidas pertenecía a la postsoviética Comunidad de Estados Independientes (CEI).
En teoría, los hacktivistas podrían utilizar la información personal expuesta en estos ataques para dirigirse a los individuos con spear-phishing y/o malware destructivo.
Otros hallazgos notables fueron un conjunto de datos gestionado por el proveedor ruso de Internet “Green Dot” y un trove que contiene “un número muy grande” de claves secretas que hacen referencia al gigante ruso del correo electrónico mail.ru como servidor anfitrión.
Aunque la atribución precisa es difícil, “sólo podemos suponer que están afiliados o son partidarios de Anonymous, basándonos en la cronología de cuando las bases de datos rusas fueron atacadas”, dijo Fowler sobre los hackers responsables.
La noticia llega cuando el gobierno ruso reveló que los piratas informáticos habían provocado cortes temporales en los sitios web de varias agencias al atacar un widget cargado externamente que se utilizaba para recopilar estadísticas de visitantes.
Info – Ciberseguridad Latam